Последние патчи в 2023-м от Microsoft закрыли 34 уязвимости, одна — 0-day

Последние патчи в 2023-м от Microsoft закрыли 34 уязвимости, одна — 0-day

Подошёл заключительный для 2023 года вторник патчей от Microsoft, которые в этот раз устраняют в общей сложности 34 уязвимости. Лишь четыре получили статус критических.

Восемь брешей, пропатченных в декабре, могут привести к удалённому выполнению кода. Три из них идут со статусом «критическая».

Вообще, максимальный уровень опасности получили дыры в Power Platform (спуфинг), Internet Connection Sharing (RCE) и платформе Windows MSHTML (RCE). По классам уязвимости распределились следующим образом:

  • 10 проблем повышения привилегий.
  • 8 RCE (удалённое выполнение кода).
  • 6 багов раскрытия информации.
  • 5 DoS.
  • 5 проблем спуфинга.

Кроме того, Microsoft устранила одну уязвимость нулевого дня (CVE-2023-20588), эксплойт для которой уже находится в общем доступе. Информация о ней появилась ещё в августе (затрагивает устройства с процессорами AMD).

Производитель CPU опубликовал собственное уведомление в отношении CVE-2023-20588. Общее число закрытых дыр с идентификаторами и степенью риска приводим ниже в таблице:

Затронутый компонент Идентификатор CVE Наименование CVE Уровень опасности
Azure Connected Machine Agent CVE-2023-35624 Azure Connected Machine Agent Elevation of Privilege Vulnerability Важная
Azure Machine Learning CVE-2023-35625 Azure Machine Learning Compute Instance for SDK Users Information Disclosure Vulnerability Важная
Chipsets CVE-2023-20588 AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice Важная
Microsoft Bluetooth Driver CVE-2023-35634 Windows Bluetooth Driver Remote Code Execution Vulnerability Важная
Microsoft Dynamics CVE-2023-35621 Microsoft Dynamics 365 Finance and Operations Denial of Service Vulnerability Важная
Microsoft Dynamics CVE-2023-36020 Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability Важная
Microsoft Edge (Chromium-based) CVE-2023-35618 Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability Средняя
Microsoft Edge (Chromium-based) CVE-2023-36880 Microsoft Edge (Chromium-based) Information Disclosure Vulnerability Низкая
Microsoft Edge (Chromium-based) CVE-2023-38174 Microsoft Edge (Chromium-based) Information Disclosure Vulnerability Низкая
Microsoft Edge (Chromium-based) CVE-2023-6509 Chromium: CVE-2023-6509 Use after free in Side Panel Search Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-6512 Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UI Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-6508 Chromium: CVE-2023-6508 Use after free in Media Stream Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-6511 Chromium: CVE-2023-6511 Inappropriate implementation in Autofill Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-6510 Chromium: CVE-2023-6510 Use after free in Media Capture Неизвестно
Microsoft Office Outlook CVE-2023-35636 Microsoft Outlook Information Disclosure Vulnerability Важная
Microsoft Office Outlook CVE-2023-35619 Microsoft Outlook for Mac Spoofing Vulnerability Важная
Microsoft Office Word CVE-2023-36009 Microsoft Word Information Disclosure Vulnerability Важная
Microsoft Power Platform Connector CVE-2023-36019 Microsoft Power Platform Connector Spoofing Vulnerability Критическая
Microsoft WDAC OLE DB provider for SQL CVE-2023-36006 Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability Важная
Microsoft Windows DNS CVE-2023-35622 Windows DNS Spoofing Vulnerability Важная
Windows Cloud Files Mini Filter Driver CVE-2023-36696 Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability Важная
Windows Defender CVE-2023-36010 Microsoft Defender Denial of Service Vulnerability Важная
Windows DHCP Server CVE-2023-35643 DHCP Server Service Information Disclosure Vulnerability Важная
Windows DHCP Server CVE-2023-35638 DHCP Server Service Denial of Service Vulnerability Важная
Windows DHCP Server CVE-2023-36012 DHCP Server Service Information Disclosure Vulnerability Важная
Windows DPAPI (Data Protection Application Programming Interface) CVE-2023-36004 Windows DPAPI (Data Protection Application Programming Interface) Spoofing Vulnerability Важная
Windows Internet Connection Sharing (ICS) CVE-2023-35642 Internet Connection Sharing (ICS) Denial of Service Vulnerability Важная
Windows Internet Connection Sharing (ICS) CVE-2023-35630 Internet Connection Sharing (ICS) Remote Code Execution Vulnerability Критическая
Windows Internet Connection Sharing (ICS) CVE-2023-35632 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Internet Connection Sharing (ICS) CVE-2023-35641 Internet Connection Sharing (ICS) Remote Code Execution Vulnerability Критическая
Windows Kernel CVE-2023-35633 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows Kernel CVE-2023-35635 Windows Kernel Denial of Service Vulnerability Важная
Windows Kernel-Mode Drivers CVE-2023-35644 Windows Sysmain Service Elevation of Privilege Важная
Windows Local Security Authority Subsystem Service (LSASS) CVE-2023-36391 Local Security Authority Subsystem Service Elevation of Privilege Vulnerability Важная
Windows Media CVE-2023-21740 Windows Media Remote Code Execution Vulnerability Важная
Windows MSHTML Platform CVE-2023-35628 Windows MSHTML Platform Remote Code Execution Vulnerability Критическая
Windows ODBC Driver CVE-2023-35639 Microsoft ODBC Driver Remote Code Execution Vulnerability Важная
Windows Telephony Server CVE-2023-36005 Windows Telephony Server Elevation of Privilege Vulnerability Важная
Windows USB Mass Storage Class Driver CVE-2023-35629 Microsoft USBHUB 3.0 Device Driver Remote Code Execution Vulnerability Важная
Windows Win32K CVE-2023-36011 Win32k Elevation of Privilege Vulnerability Важная
Windows Win32K CVE-2023-35631 Win32k Elevation of Privilege Vulnerability Важная
XAML Diagnostics CVE-2023-36003 XAML Diagnostics Elevation of Privilege Vulnerability Важная
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

YouTube ополчился против блокировки рекламы в использующем API софте

YouTube продолжает бороться с блокировщиками рекламы. На днях компания заявила, что сторонний софт, использующий API и блокирующий рекламу во время просмотра видео, нарушает условия обслуживания, поэтому видеохостинг будет бороться с такими приложениями.

Как известно, Google предлагает API, позволяющий разработчикам интегрировать YouTube в собственные приложения. В итоге ряд девелоперов создал программы для Android и iOS, пользовательская база которых разрослась до миллионов.

Есть у таких программ свои «фишки», одна из которых — блокировка рекламы. Теперь Google, осознав весь масштаб, грозит заблокировать API для «непорядочных» разработчиков.

Кроме того, в YouTube отметили, что пользователи проблемного софта могут столкнуться с более пролонгированной буферизацией и даже получать ошибку «Этот контент недоступен в данном приложении».

Всё объясняется защитой интересов создателей контента. Как всегда цели благие — обеспечить стабильный доход авторов видеороликов.

«Мы хотим подчеркнуть, что наши правила не позволяют сторонним приложениям отключать рекламу, поскольку это приведёт к недостаточным выплатам авторам видео», — гласит официальное уведомление YouTube.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru